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Rol van de overheid bij digitale dataverwerking 
en -uitwisseling II; privacy en toezicht op de 
inlichtingen- en veiligheidsdiensten 


BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN 
KONINKRIJKSRELATIES 

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal 
Den Haag, 25 maart 2015 

Bij het debat over de rol van de overheid bij digitale dataverwerking en 
-uitwisseling II, op 23 september 2014, heb ik naar aanleiding van vragen 
van Kamerlid Duthier de toezegging gedaan om de Kamer te informeren 
over de voortgang bij het verbeteren van en het ontwikkelen van 
alternatieven voor DigiD. In de motie van het lid Duthier c.s. van 7 oktober 
2014 is gevraagd om uw Kamer hierover voor het einde van het jaar te 
informeren. 

Vanwege de samenhang tussen de ontwikkeling van alternatieven voor 
DigiD en de ontwikkeling van het elD Stelsel heeft de voorbereiding van 
het gevraagde overzicht enige extra tijd gekost. Mede omdat over zowel 
de verbetering van DigiD als het elD Stelsel in de afgelopen maand een 
brief aan de Tweede Kamer is gezonden, respectievelijk op 24 en 
9 februari jl.'' 

In deze brief krijgt u een actueel overzicht van de voortgang op beide 
onderwerpen. 

Introductie DigiD 

Op dit moment kent DigiD de niveaus Basis en Midden. Voor Basis 
identificeren gebruikers zich met een gebruikersnaam en een wacht¬ 
woord; voor Midden identificeren gebruikers zich met een gebrui¬ 
kersnaam, een wachtwoord én een SMS-code. 


' Tweede Kamer, jaarvergadering 2014-2015, 26 643, nrs. 349 en 352 


Eerste Kamer, vergaderjaar 2014-2015, CVIII, Q 


1 





DigiD Basis en DigiD Midden zijn van STORK niveau 2 resp. 2+.^ Het 
voordeel van DigiD Midden boven DigiD Basis is dat daarmee in belang¬ 
rijke mate wordt voorkomen dat burgers hun accountgegevens onbewust 
afstaan en dat daarmee het risico van «phishing» van accountgegevens 
kan worden tegengegaan. Deze praktijken behoren tot de grootste 
problemen binnen en buiten overheid bij voorkomen van fraude en 
oneigenlijk gebruik bij digitale dienstverlening. 

Om DigiD op STORK niveau 3 te krijgen is face to face uitgifte van de 
accounts nodig; dat zou bijvoorbeeld kunnen via thuisbezorging of 
balie-uitgifte van activeringscodes. Deze methoden worden momenteel op 
beperkte schaal toegepast. Het thuisbezorgen vindt plaats in bepaalde 
postcode gebieden met een verhoogd risico en DigiD buitenland kent een 
vorm van balie-uitgifte. Het hoogste betrouwbaarheidsniveau (STORK 4) 
is nog niet beschikbaar; om dat niveau te halen, dient gebruik te worden 
gemaakt van gekwalificeerde elektronische certificaten. 

DigiD heeft op dit moment ca. 600 aangesloten afnemers en kent ca. 11 
miljoen gebruikers. Deze genereerden in 2014 ca. 158 miljoen authenti- 
caties. De beschikbaarheid voor DigiD lag in 2014 boven de met de 
leveranciers afgesproken norm van 99,95%. 

Deze cijfers geven duidelijk het belang weer van DigiD. Het is belangrijk 
om met vereende kracht het hoofd te blijven bieden aan de steeds 
toenemende dreigingen voor de betrouwbaarheid en de continuïteit van 
een goede en veilige elektronische toegang tot de overheid. Om deze 
dienstverlening veilig te houden en tegelijk ook toekomstbestendig te 
maken, zijn en worden permanent de nodige inspanningen verricht. 

Dienstaanbieders kiezen wel zelf het zekerheidsniveau dat bij hun diensten 
past. Op 31 oktober 2014 heb ik alle DigiD gebruikende organisatie 
gewezen op de nieuwe versie van de Handreiking Betrouwbaarheidsni- 
veaus van het Forum Standaardisatie die hen handvatten hiervoor biedt. 
Dienstaanbieders kunnen ervoor kiezen om voor één of meer diensten 
en/of producten DigiD Midden in te zetten. Zo is bijvoorbeeld bij de Dienst 
Uitvoering Onderwijs inloggen alleen mogelijk met DigiD Midden. 

Bij het digitaal aanbieden van diensten en producten is het overheidsin¬ 
stellingen er veel aan gelegen dat zowel veilig als klantvriendelijk te doen: 
zij trachten de drempel voor het gebruik - en daarmee de uitvoerings¬ 
kosten - zo laag mogelijk te houden en tegelijk het risico op misbruik en/of 
oneigenlijk gebruik zo veel mogelijk te vermijden. Naast het voorkomen 
van schade hebben het imago van en het vertrouwen in DigiD hun 
onverdeelde aandacht. Maatregelen worden geselecteerd in overeen¬ 
stemming met risico en belang. Aanvullend aan het gebruik van DigiD 
worden door de dienstaanbieders mitigerende maatregelen getroffen om 
misbruik en oneigenlijk gebruik te voorkomen, zoals bij het wijzigen van 
adresgegevens of bankrekeningnummers. 


^ STORK is een Europese classificatie die vier betrouwbaarheidsniveaus voor elektronische 
identificatie onderkent. Niveau 4 is het hoogste betrouwbaarheidsniveau en geeft aan dat de 
identiteit van de gebruiker met zeer grote zekerheid is vastgesteld. Eind juni 2015 wordt in het 
elDAS comité besloten over een andere classificatie die beter aansluit bij de aankomende 
Europese verordening rondom grensoverschrijdende elektronische identificatie (EU 910/2014). 
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Verbetering DigiD 


In 2014 getroffen maatregelen ter verbetering van (de betrouwbaarheid 
van) DigiD 

- Bij ontdekking van zogeheten phishing-sites worden deze websites in 
samenwerking met de Belastingdienst en het Nationaal Cyber Security 
Centrum (NCSC) zo snel mogelijk uit de lucht gehaald. In 2014 zijn er 
ruim 40 sites op deze manier uit de lucht gehaald. 

- Op de website van DigiD wordt door Logius advies gegeven over het 
veilig omgaan met DigiD. Daarbij wordt onder meer gewezen op het 
belang dat de gebruiker controleert dat hij/zij daadwerkelijk inlogt op 
de echte inlogpagina van DigiD. Ook wordt gewaarschuwd voor valse 
e-mails waarin wordt gevraagd om inloggegevens in te vullen. 
Bovendien wordt uitgelegd hoe de gebruiker misbruik van zijn account 
kan herkennen en welke actie hij kan ondernemen bij geconstateerd 
misbruik. Tenslotte wordt verwezen naar de ondersteuning die kan 
worden geboden onder meer via de helpdesk van DigiD, het Centraal 
Meldpunt Identiteitsfraude en het Meldpunt Slachtoffers Fraude van de 
Belastingdienst. 

- In de brede Alert-Online-campagne is in 2014 aandacht besteed aan 
veilig internetten. 

- Burgers kunnen er nu zelf ervoor kiezen om standaard in te loggen op 
niveau Midden. Dat maakt hen - vanwege de tweede authenticatie 
door middel van SMS - minder kwetsbaar voor bijvoorbeeld phishing. 

- Inmiddels heeft 80% van de DigiD gebruikers een mobiel nummer 
ingevoerd. In 2014 was een stijging van 32,7% te zien op het gebruik 
van DigiD Midden ten opzichte van 2013. (Aantal transacties op niveau 
midden heel 2013: 9.128.861. Aantal transacties op niveau midden heel 
2014: 12.116.611. Groei 2013 naar 2014: 2.987.750.) 

- Er worden voortaan e-mails verstuurd aan burgers bij belangrijke 
wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. 
Op die manier wordt het makkelijker voor burgers om misbruik van 
hun DigiD te herkennen. 

- DigiD activeringscodes worden in kwetsbare postcodegebieden 
thuisbezorgd. In totaal zijn in 2014 ca. 7.500 brieven thuisbezorgd per 
koerier. 

- Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk 
voor de beschikbaarheid en continuïteit van DigiD maar ook voor de 
veiligheid. 

- DigiD is beveiligd om het mogelijk te maken beter de integriteit en 
authenticiteit van de website te controleren en phishing te 
bemoeilijken. 

In 2015 te treffen maatregelen ter verbetering van (de betrouwbaarheid 
van) DigiD 

Voor 2015 heb ik een versterkingsagenda opgesteld die een samenstel is 
van diverse extra acties die vanuit ICT en kostenperspectief de meest 
effectieve stappen zijn. 

Alternatief DigiD Midden 


In de eerste plaats wordt een alternatief voor het redelijk kostbare DigiD 
Midden met SMS gerealiseerd, dat tegen lagere kosten op grote schaal 
kan worden toegepast. In februari start de bouw van de beoogde 
oplossing, medio 2015 wordt de beoogde oplossing beproefd in een pilot. 
Mocht de pilot succesvol blijken, dan zal besloten worden over een brede 
uitrol. 
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Versterking DigiD met identiteitsdocument, niveau 3 


Door enkele grote uitvoeringsinstanties worden in 2015 pilots uitgevoerd 
met het toepassen van een extra controle na het inloggen met DigiD. Die 
extra controle vindt plaats door het uitlezen van gegevens op de chip van 
een wettelijk identiteitsdocument, zoals de Nederlandse identiteitskaart en 
het rijbewijs. Daarmee wordt het mogelijk authenticaties met betrouw- 
baarheidsniveau STORK 3 uit te voeren. Mochten de pilots succesvol zijn, 
zal ik laten onderzoeken of deze methode overheidsbreed kan worden 
toegepast. 

Publiek middel op hoogste betrouwbaarheidsniveau, niveau 4 


Het kabinet acht het mogelijk en wenselijk in een publiek elD-middel te 
voorzien binnen het elD stelsel, waarmee authenticaties op het hoogste 
niveau mogelijk worden. Er worden momenteel voorbereidingen 
getroffen om kleinschalige pilots te starten met een publiek elD-middel. 

ICT-Beveiligingsassessments DigiD 


Tot slot worden alle DigiD-gebruikende organisaties geacht, vóór 1 mei 
2015, hun jaarlijkse rapportages over hun ICT-beveiligingsassessment 
DigiD op te leveren. 

elD Stelsel als toekomstige standaard 

Het beleid van het kabinet is erop gericht om de dienstverlening door de 
overheid en het bedrijfsleven digitaal, veilig en toegankelijk te maken voor 
burgers en bedrijven. Om het vertrouwen in digitale dienstverlening te 
waarborgen, is het op betrouwbare wijze geven van toegang tot digitale 
diensten, nu en in de toekomst, van primair belang. In dat verband heeft 
de overheid in 2012 het initiatief genomen om de mogelijkheden van een 
stelsel van afspraken te onderzoeken en ontwikkelen (elD Stelsel), met 
daarbinnen ruimte voor zowel publieke als private elektronische authenti- 
catiemiddelen (elD-middelen) zodat er, naast DigiD, meerdere middelen 
op alle betrouwbaarheidsniveaus beschikbaar kunnen komen voor 
burgers. Het kabinet wil dit afsprakenstelsel vorm geven in samenwerking 
tussen overheid en bedrijfsleven. De Tweede Kamer is hierover onder 
meer geïnformeerd bij brief van 19 december 2013.^ 

Het elD Stelsel gaat uit van een multimiddelenstrategie, waarin 
hoogwaardige elD-middelen naast elkaar functioneren. Dat kunnen zowel 
publieke als private middelen zijn. Voor de publieke sector betekent dit dat 
er een publieke authenticatiedienst moet komen. 

Het grote voordeel van de multimiddelen-strategie is, dat bij uitval van 
een inlogmiddel, burgers een ander inlogmiddel kunnen gebruiken. Voor 
de publieke sector is dit zeer belangrijk. Zonder de multimiddelen¬ 
strategie kan een «single point offailure» het risico inhouden dat 
essentiële overheidsdienstverlening gedurende kortere of langere tijd niet 
bereikbaar is. Gezien het belang van de dienstverlening voor veel burgers 
is dat een onwenselijke situatie. 

In de tweede helft van 2015 zal een aantal pilots worden uitgevoerd, 
waarbij aan burgers met private elD-middelen toegang kan worden 
verleend tot publieke dienstverleners. Aan private elD-middelen die op 
deze voorziening worden toegelaten zullen strikte eisen worden gesteld 
met betrekking tot veiligheid en betrouwbaarheid, alsmede privacya- 


^ Tweede Kamer, jaarvergadering 2014-2015, 26 643, nr. 299 
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specten die in acht genomen moeten worden. Ten aanzien van het 
definiëren van betrouwbaarheidsniveaus voor elektronische identificatie 
zijn de Europese afspraken die gemaakt worden in het kader van de 
Europese verordening (EU 910/2014) betreffende elektronische identifi¬ 
catie en vertrouwensdiensten voor elektronische transacties, leidend. 

In deze eerste fase van het elD stelsel kunnen op de hiervoor geschetste 
wijze private elD-middelen door burgers worden gebruikt bij dienstver¬ 
lening in het publieke domein. In de komende periode wordt daarvoor een 
pilotplan opgesteld waarin is vastgelegd welke diensten daarbij worden 
betrokken. De Belastingdienst voert daarbij ook een verkenning uit voor 
de inzet van bankmiddelen in een pilot. 

In 2014 is een aantal verkenningen afgerond waarvan de vastgestelde 
rapporten worden gepubliceerd op de website: www.eid-stelsel.nl. De 
verkenningen bevestigen het kabinet in zijn keuze voor het elD Stelsel. De 
opvatting van het kabinet, dat vaart gemaakt moet worden, wordt breed 
gesteund. Daarbij zijn zorgvuldigheid en het realiseren van waarborgen 
belangrijke vereisten. Het kabinet geeft zich nadrukkelijk rekenschap van 
het feit, dat het ontwikkelen van het elD Stelsel een complexe opgave is, 
waarbij passende beheersmaatregelen moeten worden genomen. Daarbij 
gaat het onder meer om een strikte voortgangsbewaking en kwaliteitscon¬ 
trole. 

Voor het elD Stelsel is het doel om in 2015 een eerste versie werkend 
afsprakenstelsel in de vorm van een Introductieplateau elD te realiseren, 
zodat pilots kunnen worden uitgevoerd. Parallel aan de uitvoering van dit 
Introductieplateau elD zal samen met maatschappelijke organisaties een 
visie worden ontwikkeld voor een vervolg op het Introductieplateau elD. 
Deze visie kan dan worden vertaald in een nieuw plateau van het elD 
Stelsel dat in 2017 vorm moet hebben gekregen. In het Introductieplateau 
elD wordt het elD Stelsel uitgewerkt naar inhoud, governance, toezicht en 
financiën, binnen een passend juridisch kader. Het bestaande stelsel voor 
authenticatie voor bedrijven, eHerkenning, dienst als basis voor het 
Introductieplateau elD. Het afsprakenstelsel eHerkenning zal daarmee in 
de komende periode migreren naar het elD Stelsel. 

Concreet wordt voorzien dat eind 2015 wordt begonnen met een eerste 
fase van het afsprakenstelsel elD. De inrichting van deze eerste fase is 
mede met private partijen uit het elD platform vormgegeven. In de eerste 
fase zal nadrukkelijk aandacht worden gegeven aan aspecten van 
veiligheid, betrouwbaarheid en privacy. Daarbij worden de best 
beschikbare technologieën als uitgangspunt genomen. Ook zal toezicht 
worden ingericht om te borgen dat deelnemers aan het stelsel vertrouwd 
kunnen worden en veilig werken. 

Op basis van de ervaringen met deze eerste fase van het afsprakenstelsel 
zal in de loop van 2016 worden bepaald of en op welke wijze aanvullende 
maatregelen of voorzieningen in het afsprakenstelsel opgenomen dienen 
te worden. Ook kan hierna een nieuwe functionaliteit in het stelsel worden 
opgenomen. 


Rapporten: 

- Advies over het gebruik van publieke middelen in het elD stelsel, ECP 07-01-2015; 

- Business Case publieke elD-mIddelen (integrale business case), Ecorys, 02-12-2014; 

- Publieksonderzoek elektronische identiteitskaart, Motivaction, 26-09-2014; 

- Internationale vergelijking elD-middelen, PBLQ HEC, 21-10-2014. 
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Ik vertrouw erop dat ik met deze informatie voldoe aan de door mij 
gedane toezegging. 

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, 

R.H.A. Plasterk 
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